Introduction de DMARC

Qu’est-ce que DMARC ?

DMARC est une extension de la sécurité SPF et DKIM, fonctionnant également sur la base d’une entrée DNS mais pas seulement. Le principe de base de DMARC est d’informer les administrateurs de domaines que quelqu’un essaie de se faire passer pour leur domaine et d’envoyer de faux courriels à partir de celui-ci.

La première chose à savoir sur DMARC est qu’il nécessite l’ introduction de SPF et DKIM. Sans ces deux extensions, DMARC peut nous causer un sacré désordre dans le courrier et même l’empêcher d’être envoyé aux serveurs qui le prennent en charge. Exemple d’entrée DMARC :

Vous pouvez immédiatement remarquer que l’entrée DMARC, comme pour SPF, est toujours à un seul endroit (enregistrement _dmarc.domain.pl txt), elle ne nécessite pas la connaissance du sélecteur comme dans le cas de DKIM. Le reste ressemble au FPS, mais il y a quelques exceptions :

• v – version DMARC utilisée (obligatoire)
• p – politique sur ce qu’il faut faire avec les messages (obligatoire)
• pct – pourcentage de messages (par exemple 20) à donner à la politique (par défaut 100, non requis)
• rua – adresse électronique spécifiée à laquelle les rapports d’abus potentiels doivent être envoyés (non obligatoire)
• sp – politique pour les sous-domaines, par exemple zlodziej.roan24.pl (non requis)
• aspf – politique sur DKIM et SPF – voir ci-dessous (non requis)

P et SP – les balises données prennent trois options

• none – ne prend aucune mesure particulière sur la base de DMARC, se contente de collecter des informations – bon lorsque vous venez d’introduire DMARC, il peut vous protéger contre les faux positifs où par exemple vous avez oublié d’ajouter un serveur SPF ou vous signez des messages avec DKIM mais n’avez pas d’entrée DNS, très bonne option pour tester vos paramètres.
• quarantaine – c’est-à-dire que si le message échoue au test DMARC, il doit être remis mais marqué comme spam.
• reject – ce message doit être rejeté s’il échoue au test DMARC.

Aspf – Un élément important qui sera bientôt réglé sur s dans notre post – c’est-à-dire strict où le message doit passer parfaitement le test SPF et DKIM, au cas où. Alors que la deuxième option est le r par défaut – c’est-à-dire détendu, le message peut ne passer le test SPF ou DKIM qu’en partie, par exemple une signature DKIM valide mais un domaine invalide.

En rassemblant toutes les informations, je recommande de commencer par utiliser une entrée comme celle donnée pour notre domaine, il suffit de changer l’adresse e-mail par la vôtre et de tester. Si les tests sont concluants, changez lentement.

Exemples de rapports

C’est-à-dire les rapports que nous avons reçus de hotmail.com, par exemple :

[codeblocks name='hotmail']

Où l’on voit immédiatement que Hotmail a eu un problème temporaire de connexion à l’un de nos serveurs DNS, car l’adresse IP était parfaitement valide, et à côté de DKIM et SPF on peut voir qu’il s’agit juste d’une erreur temporaire. Un autre élément d’information important est l’intervalle de temps donné sous la forme d’un horodatage unix. Ce qui nous aidera plus tard à déterminer l’heure à laquelle le message a été envoyé s’il a été envoyé depuis notre serveur.

En revanche, 163.com nous a envoyé :

[codeblocks name='163']

Après quoi, il est clair que quelqu’un a essayé d’usurper l’identité de notre adresse de domaine, mais comme vous pouvez le voir, le message a échoué aux tests DKIM et SPF.

Résumé

DMARC est la cerise sur le gâteau avec DKIM et SPF, car il permet de déterminer clairement ce qu’il faut faire avec tel ou tel message et qui informer d’une éventuelle tentative d’usurpation d’identité de notre domaine, et il vaut la peine de l’introduire pour obtenir au moins des rapports sur le dysfonctionnement du courrier.

Pour de plus amples informations, veuillez consulter le site Web principal du projet : . Ou demandez dans les commentaires.